computerwoche.de

Security

Mit kombinierten Mitteln gegen Mail-Bedrohungen

03.06.2008
Von Rainer Baumann

Der Anwender als Risiko

Elektronische Kommunikationsmittel bieten unbegrenzte Möglichkeiten, Informationslecks auszunutzen - ob mutwillig oder unbeabsichtigt durch Anwenderfehler. Ein Teil der Fälle ist durchaus kriminell motiviert. Nach Angaben des Bundeskriminalamts (BKA) belief sich die Summe dieser Schäden im Jahr 2006 allein in Deutschland auf rund 36 Millionen Euro, Tendenz steigend. Häufig kommen Daten jedoch unbeabsichtigt in falsche Hände. Um dies zu vermeiden, richten viele Unternehmen interne Handlungsanweisungen an die Mitarbeiter.

Auch wenn dies durchaus angebracht und teilweise hilfreich ist - sicherer ist eine zentrale und automatisch einschreitende Instanz in Form einer Lösung für Data Loss Prevention (DLP). Besonders effektiv ist deren Einsatz am Gateway zum externen Netz, denn so fällt für die Administratoren keinerlei Aufwand für das Einrichten von Software und Policies auf die zahlreichen internen PCs und Notebooks an.

Schwarze Listen mit Nebeneffekten

Um unerwünschte E-Mails vom regulären Nachrichtenstrom zu trennen, braucht man Unterscheidungsmerkmale. Doch wie erkennt man möglichst viele der unerwünschten Mails, ohne die reguläre Kommunikation zu behindern? Zahlreiche Lösungen setzen auf im Internet verbreitete Listen, die Adressen bekannter Übeltäter und die zugehörigen Ausnahmen enthalten (Black- und Whitelists). Da sich Spam-Versender und auch die Wurmausbreitungsmechanismen aber mittlerweile sehr geschickt tarnen und zahlreiche, immer wieder wechselnde Adressen verwenden, ist die Wirkung von solchen statischen Listen sehr begrenzt. Zudem besteht die Gefahr, dass Unternehmen versehentlich auf einer schwarzen Liste landen und dann für mehrere Tage keine E-Mails versenden können.

Die Funktion "Auf gut Glück" kann Empfänger von Spam-Nachrichten anders weiterleiten als von Google vorgesehen.
Die Funktion "Auf gut Glück" kann Empfänger von Spam-Nachrichten anders weiterleiten als von Google vorgesehen.

Auch die so genannten Real-Time-Blacklists sind hier grundsätzlich keine Abhilfe, denn sie verbreiten lediglich die Blacklist-Informationen sehr schnell über das Internet. Listenfehler haben dadurch potenziell größere Auswirkungen. Deshalb gilt es heutzutage als fahrlässig, für den Schutz von operativ betriebenen Unternehmensnetzen ungeprüft auf singuläre, von außen zugelieferte Blacklists zu setzen. Vielmehr sollten mehrere Informationsquellen herangezogen werden, um Sperr-Entscheidungen zu treffen.

Vorteile von kombinierten Reputations- und Content-Filtern

  • Höhere Erkennungsrate (Spam-blocking);

  • weniger legitime Mails als Spam markiert ("False Positives");

  • geringere Hardwarekosten und erhöhter Nachrichtendurchsatz;

  • reduziertes Risiko bei Denial of Service oder Directory Harvest Attacks;

  • Einstellung von Message-Rates möglich.